CyberArk Password VaultControl Room 集成时使用可选保险箱,通过支持基于角色的凭据隔离,实现了自动登录工作流中凭据管理的逻辑隔离。

您可以在您的 Control Room 中集成 CyberArk Password Vault,以安全地存储和检索在自动登录工作流中使用的凭据。 此集成允许管理员配置一个默认保险箱,并另外配置最多 25 个可选保险箱以支持基于角色的凭据隔离。

如果未配置可选保险箱Control Room 将使用默认的配置保险箱来检索自动登录所需的凭据。

可选保险箱如何工作?

可选保险箱是一个额外的 CyberArk 保险箱,可以在 Control Room 中进行配置,以支持基于角色的凭据隔离。 可以配置多个可选保险箱,并且每个可选保险箱都映射到一个或多个 Control Room 角色(CR 角色),例如 Bot Developer、AAE_Basic 或任何其他用户自定义角色。

当自动登录工作流使用 Bot Runner 用户时,Control Room 决定要查询哪个 CyberArk 保险箱,以获取用于自动登录工作流的凭据。 保险箱根据在可选保险箱中配置的角色映射,从已配置的可选保险箱列表中进行选择。 从选定保险箱中检索的值用于自动登录工作流。

Control Room 中配置了多个可选保险箱时,Control Room 使用以下流程从 CyberArk 检索凭据。 从保险箱中检索到的凭据用于自动登录工作流。

  1. Control Room 检查 Bot Runner 用户是否属于可选保险箱中配置的任何 Control Room 角色:
    • Control Room 中分配给单个可选保险箱Bot Runner 用户角色: 分配给角色的可选保险箱已选中。 当自动登录工作流使用此 Bot Runner 用户时,分配给该角色的保险库将用于从 CyberArk 检索自动登录凭据。
    • Bot Runner 用户被分配到 Control Room 中的多个可选保险箱
      1. 第一个包含用户角色的可选保险箱(按照可选保险箱的配置顺序)已选中。
      2. Control Room 找到分配给该用户角色的第一个可选保险箱后,即使同一用户角色可能属于与其他保险箱匹配的多个映射,它也会停止评估任何其他可选保险箱。
    • Bot Runner 用户未被分配到 Control Room 中的任何可选保险箱: 默认保险箱已选中。
  2. 在上一步选择的保险箱以及 Bot Runner 用户名将用于向 CyberArk 查询凭据。

使用可选保险箱时的注意事项

  • 您可以选择使用可选保险箱: 如果您未配置任何可选保险箱,系统将使用默认保险箱。
  • 仅选择一个可选保险箱: 当 Bot Runner 用户被分配到 Control Room 中的多个可选保险箱时,Control Room 只会选择第一个包含该用户角色的可选保险箱(按照可选保险箱的配置顺序),以执行自动登录工作流。 Control Room 不会在其他可选保险箱中检查用户角色。
  • 可选保险箱的配置顺序很重要: 可选保险箱的评估按照其配置的顺序进行。 请查看此订单以符合您的要求。
  • 避免用户角色映射重叠: 为每个可选保险箱分配唯一角色。 如果同一个角色被映射到多个保险箱,则只会使用第一个匹配的保险箱,这可能导致凭据解析错误。
  • 仅适用于自动登录工作流: 可选保险箱仅用于自动登录工作流。